Ай Ком Сервис Обнаружена уязвимость в Google Apps - 22 Ноября 2010 - Ай Ком Сервис
Главная » 2010 » Ноябрь » 22 » Обнаружена уязвимость в Google Apps
00:32
Обнаружена уязвимость в Google Apps

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы. Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании. Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно. Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах. Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена. "Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".



Категория: Интернет угрозы | Просмотров: 475 | Добавил: Administrator | Теги: опасная уязвимость, уязвимость в Google Apps, Google Apps | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]